Куда я попал?
Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир"
Стандарт
Документ устанавливает требования к системе управления Рисками ИБ российских Субъектов ПС «Мир».
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
73
%
Входящая логистика
80
%
Создание продукта
60
%
Исходящая логистика
40
%
Маркетинг, продажа
55
%
Обслуживание клиента
64
%
Инфраструктура
36
%
HR-менеджмент
66
%
Технологии
51
%
Закупки / Снабжение
86
%
Опыт клиента
Список требований
-
1.2 Термины, определения и сокращения
СУР ИБ – система управления риском информационной безопасности.
ОПКЦ – операционный и платежный клиринговый центр.
Допустимый риск – уровень риска, который Субъект готов принять на себя, с высокой вероятностью обеспечивая достижение целей своей деятельности и выполнение своих функций.
Значимый риск – риски, уровень которых выше уровня допустимого риска.
Ключевой индикатор риска (КИР) – количественный показатель, который используется для оперативного измерения и контроля уровня Риска ИБ в определенный момент времени.
Косвенные потери – к данным видам потерь Субъекта относятся:- расчетные потери из-за приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате Инцидента ИБ;
- рост затрат рабочего времени обслуживающего персонала на устранение последствий от Инцидента ИБ;
- рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате Инцидента ИБ.
Остаточный риск – уровень риска с учетом существующих мер реагирования на него и контрольных процедур.
Показатель уровня Риска ИБ – количественный или качественный показатель, позволяющий осуществлять контроль за уровнем Риска ИБ.
Пороговое значение – предельное значение, при достижении которого необходимо предпринимать меры, направленные на снижение Риска ИБ.
Присущий риск – уровень риска при отсутствии мер, направленных на изменение вероятности риска или степени его влияния.
Прямые потери – к данным видам потерь Субъекта относятся:- потери денежных средств или других активов в результате Инцидента ИБ;
- выплаты компенсаций клиентам и контрагентам в результате Инцидента ИБ;
- уплата штрафов за Инциденты ИБ по предписаниям исполнительных органов государственной власти, Банка России и (или) Оператора.
Риск-событие – событие, реализация которого может привести к Инциденту ИБ, а также событие, которое привело, могло привести или может привести в будущем к негативным последствиям для достижения целей деятельности и выполнения функций Субъекта.
Риск информационной безопасности (Риск ИБ) – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдением требований к указанным процессам деятельности Субъектами. Является одним из видов операционного риска в Системе.
Риск информационной безопасности включает в себя:- киберриск – риск преднамеренных действий со стороны работников Субъекта Системы и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры Субъекта;
- другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) Данных карт ПС «Мир» [2] без использования объектов информационной инфраструктуры.
Субъект – Участник, ОПКЦ и РЦ (кроме Банка России).
Иные термины и сокращения, используемые в настоящем документе, применяются в значениях, установленных в Правилах ПС «Мир» и документе «Стандарт ПС “Мир”. Программа безопасности». -
4.5 Субъекты самостоятельно определяют методику оценки Рисков ИБ, которая должна включать:
- шкалу оценки воздействия Риска ИБ <2>;
- шкалу вероятности реализации Риска ИБ;
- матрицу принятия решений по управлению Риском ИБ.
<2> В Приложении № 2 к настоящему документу приведена шкала оценки воздействия Рисков ИБ в Системе. Шкала оценки вероятности реализации риска и тепловая карта оценки риска приведены в Разделе 18 Правил ПС «Мир». -
при формировании перечня возможных Риск-событий для каждого из бизнес-процессов учитывать результаты моделирования угроз информационной безопасности, результаты последней проведенной оценки соответствия требованиям безопасности (в соответствии с требованиями документа [2]), наличия известных уязвимостей в программном обеспечении, используемом для автоматизации оцениваемых бизнес-процессов;
-
4. показатели, характеризующие уровень зрелости процессов защиты информации:
- оценка эффективности функционирования системы управления Риском ИБ, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению уполномоченного органа Субъекта;
- оценка эффективности защитных мер, применяемых в соответствии с требованиями безопасности, определенных для данного Субъекта в соответствии с документом [2] за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
- оценка эффективности компенсационных мер, применяемых для достижения целей требований PCI DSS за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
- оценка эффективности дополнительных защитных мер, в дополнение к мерам, требуемым документом [2], применяемых для обеспечения защиты информационных систем и процессов, используемых для проведения Операций, за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года.
-
8.13. Субъекты должны по запросу в установленным им сроки и порядке предоставлять Оператору сведения об установленных КИР, их контрольных значениях, установленных значениях показателей уровня Риска ИБ. Рекомендации по формированию и содержанию отчетности указаны в Приложении № 1 настоящего документа.
-
8.15. Участники должны уведомлять Оператора о фактах превышения порогового значения для показателей уровня Риска ИБ, перечисленных в п. 8.3. Участники должны производить уведомление в течение 24 часов с момента выявления факта превышения показателя уровня Риска ИБ. Уведомление выполняется путем создания заявки в проекте «Программа безопасности» на Портале. К заявке должна быть приложена документация о показателях уровня Риска ИБ, пороговое значение которых было превышено. Документация должна содержать сведения о пороговых значениях показателей уровня риска ИБ, сведения о зафиксированных значениях показателей уровня риска ИБ, результаты выполнения установленного порядка реагирования на превышение показателя уровня риска ИБ. Если у Участника отсутствует доступ к Порталу, то Участник должен уведомить АО «НСПК» по электронной почте, направив письмо с указанной информацией на адрес mirsecurity@nspk.ru.
-
8.16. Свидетельством превышения показателей уровня Риска ИБ может являться превышение пороговых значений уровня Неправомерных операций, зафиксированное в рамках процесса контроля уровня Неправомерных операций на стороне Участников, установленного документом [5]. Обработка событий превышения пороговых значений уровня Неправомерных операций осуществляется в соответствии с положениями документа [5].
-
Совершенствование СУР ИБ Субъекта должно осуществляться в следующих случаях:
- выявление фактов или возможности превышения уровня Рисков ИБ Субъекта;
- изменение политики Субъекта в отношении принципов и приоритетов в реализации СУР ИБ;
- изменение политики Субъекта в отношении величины допустимого Риска ИБ, значений уровня Риска ИБ;
- внедрение новых технологий, изменение информационной инфраструктуры Субъекта;
- изменение условий взаимодействия Субъекта с третьими сторонами, в том числе с другими Субъектами и платежными сервис-провайдерами;
- принятие решения о необходимости совершенствования СУР ИБ по итогам анализа результатов аудита СУР ИБ, анализа результатов оценки соответствия требованиям безопасности, проведенной согласно положениям документа [2], реагирования на Инциденты ИБ и восстановлении после их реализации;
- изменение законодательства Российской Федерации, в том числе нормативных актов Банка России.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.